Un PDF firmato digitalmente non è la stessa cosa di un PDF in cui qualcuno ha apposto la propria firma sulla pagina. Il termine "firmato digitalmente" si riferisce a uno specifico meccanismo tecnico che utilizza la crittografia per verificare sia l'identità del firmatario che l'integrità del documento dopo la firma. Comprendere la distinzione è importante perché queste due cose offrono livelli di protezione legale molto diversi.

Cos'è realmente una firma digitale
Una firma digitale in un PDF utilizza l'infrastruttura a chiave pubblica (PKI), un sistema crittografico che accoppia una chiave privata (detenuta dal firmatario) con una chiave pubblica (disponibile per chiunque desideri verificare la firma). Quando firmi digitalmente un PDF, il tuo software di firma crea un hash matematico del contenuto del documento e lo crittografa con la tua chiave privata. Questo hash crittografato, insieme al certificato digitale, è incorporato nel PDF.
Quando qualcuno apre il PDF firmato, il suo visualizzatore utilizza la tua chiave pubblica per decrittografare l'hash e lo confronta con un hash appena calcolato del documento corrente. Se i due hash corrispondono, il documento non è stato modificato dopo la firma e la firma è valida. Se anche un solo carattere viene modificato dopo la firma, gli hash non corrisponderanno e il visualizzatore visualizzerà un avviso di firma non valida. Questo rilevamento delle manomissioni è ciò che rende una firma digitale fondamentalmente diversa da una firma disegnata o basata su un'immagine.
Prova a firmare PDF
Nessuna installazione necessaria. Funziona direttamente nel tuo browser.
Certificati digitali e autorità di certificazione
Affinché altri possano considerare attendibile una firma digitale, il certificato utilizzato per firmare deve essere emesso da un'autorità di certificazione (CA) attendibile, un'organizzazione che ha verificato l'identità del firmatario prima di emettere il certificato. Quando un destinatario apre un PDF firmato digitalmente, il suo visualizzatore verifica se il certificato è stato emesso da una CA presente nell'elenco di fiducia. In tal caso, il visualizzatore visualizza una firma attendibile; in caso contrario, mostra un avviso di certificato non attendibile o sconosciuto.
Le principali autorità di certificazione includono DigiCert, GlobalSign, Entrust e altre accreditate nell'ambito di programmi come Adobe Approved Trust List (AATL) o European Union Trusted Lists (EUTL). I certificati di queste CA vengono automaticamente considerati attendibili da Adobe Acrobat e dalla maggior parte dei visualizzatori PDF aziendali senza alcuna configurazione aggiuntiva.
I certificati autofirmati, quelli generati autonomamente senza una CA, forniscono comunque il rilevamento delle manomissioni ma non forniscono la verifica dell'identità. Un destinatario che apre un PDF firmato con un certificato autofirmato vedrà un avviso che indica che il certificato non proviene da un'autorità attendibile, anche se la firma stessa è crittograficamente valida.
Firme digitali vs Firme elettroniche vs Firme certificate
Questi tre termini sono spesso usati in modo intercambiabile ma si riferiscono a cose significativamente diverse. Ecco come si confrontano:
| Caratteristica | Firma elettronica | Firma digitale | Firma autentica |
|---|---|---|---|
| Verifica dell'identità | Nessuno richiesto | È richiesto il certificato PKI | Certificato PKI + CA |
| Rilevamento manomissione | NO | SÌ | SÌ |
| Posizione giuridica | Valido nella maggior parte dei contesti | Forte: legalmente riconosciuto | Il più forte: ammissibile in tribunale |
| Pista di controllo | Limitato/nessuno | Prova crittografica | Traccia di controllo completa |
| Strumenti tipici | WukongPDF, Anteprima, Bordo | Adobe Acrobat, DocuSign | Adobe Acrobat Pro, azienda |
| Meglio per | Contratti, moduli di tutti i giorni | Accordi commerciali, risorse umane | Documenti legali, documenti regolamentati |
L'esperienza quotidiana di PDF Sign, ovvero disegnare una firma in WukongPDF o Anteprima, crea una firma elettronica. È legalmente valido per la maggior parte degli scopi, ma non fornisce il rilevamento di manomissioni o la verifica dell'identità crittografica. Una firma digitale richiede un certificato emesso da una CA, fornisce il rilevamento delle manomissioni ed è necessaria per i documenti ad alto rischio.
Stato legale dei PDF firmati digitalmente
Le firme digitali sono legalmente riconosciute in tutte le principali giurisdizioni. Negli Stati Uniti, sia l'ESIGN Act che l'UETA riconoscono le firme elettroniche e digitali come giuridicamente vincolanti. Il regolamento eIDAS (Identificazione elettronica, Autenticazione e Servizi Trust) dell'Unione Europea fornisce il quadro più dettagliato, distinguendo tra firme elettroniche semplici, firme elettroniche avanzate (AES) e firme elettroniche qualificate (QES), dove la QES ha il peso legale più elevato e richiede un certificato qualificato da un fornitore accreditato.
Una firma elettronica qualificata secondo eIDAS ha lo stesso effetto giuridico di una firma autografa in tutti gli Stati membri dell’UE. Questo è lo standard utilizzato per i documenti ad alto rischio nei settori regolamentati europei: servizi finanziari, assistenza sanitaria, procedimenti legali e documenti governativi.
Come verificare una firma digitale in un PDF
Adobe Acrobat Reader (gratuito) mostra la validità della firma quando si apre un PDF firmato digitalmente. Un segno di spunta verde nel pannello della firma indica una firma valida da un certificato attendibile. Un triangolo di avvertenza giallo indica che la firma è valida ma il certificato non proviene da una CA attendibile. Una X rossa indica che la firma non è valida: il certificato è scaduto, è stato revocato o il documento è stato modificato dopo la firma.
Per visualizzare i dettagli completi della firma, fare clic sulla firma nel documento per aprire il pannello Proprietà firma. Questo mostra le informazioni sul certificato del firmatario, l'ora e la data della firma e la catena di fiducia fino alla CA radice. Per i documenti coinvolti in controversie legali, questa traccia di controllo costituisce la prova principale dell'autenticità della firma.
Quando è necessaria una firma digitale o una firma semplice
La maggior parte della firma quotidiana dei documenti (contratti di lavoro, termini degli appaltatori, moduli di consenso, contratti di noleggio) non richiede una firma digitale crittografica. Una semplice firma elettronica apposta tramite lo strumento PDF Sign è giuridicamente sufficiente e molto più semplice per tutte le parti. Il destinatario non ha bisogno di software speciale per verificare nulla; aprono il documento, vedono la firma e basta.
Le firme digitali diventano necessarie quando il documento è soggetto a requisiti normativi che le richiedono esplicitamente, quando è necessaria la prova che il documento non è stato alterato dopo la firma, quando il documento verrà sottoposto a un tribunale o a un'autorità governativa che richiede la verifica crittografica o quando le parti non si fidano abbastanza l'una dell'altra per fare affidamento su una semplice firma senza verifica indipendente.
Prova a firmare PDF
Nessuna installazione necessaria. Funziona direttamente nel tuo browser.
